。此外,可以从web票证中提取出签名,并且基于在web票证中标识出的密钥对其进行验证。如果在1112处确定web票证不是有效的,则在1114处拒绝来自客户端的请求。如果在1112处确定web票证是有效的,则在1116处向客户端传送针对客户端的请求的响应,其中所述响应包括所请求的数据。所述方法在1118处结束。
[0061]现在参照图12,图示出了可以根据这里所公开的系统和方法使用的示例性计算设备1200的高层级图示。举例来说,计算设备1200可以被使用在支持基于对称密钥生成web票证的系统中。作为另一个示例,计算设备1200可以被使用在支持维护对称密钥列表的系统中。计算设备1200包括至少一个处理器1202,其执行存储在存储器1204中的指令。举例来说,所述指令可以是用于实施被描述成由前面所讨论的一个或更多组件实施的功能的指令,或者用于实施前面所描述的其中一种或更多种方法的指令。处理器1202可以通过系统总线1206访问存储器1204。除了存储可执行指令之外,存储器1204还可以存储对称密钥列表、通信数据、web票证等等。
[0062]计算设备1200附加地包括可由处理器1202通过系统总线1206访问的数据存储库1208。数据存储库1208可以包括可执行指令、对称密钥列表、web票证等等。计算设备1200还包括允许外部设备与计算设备1200通信的输入接口 1210。举例来说,输入接口 1210可以被用来接收来自外部计算机设备、来自用户等等的指令。计算设备1200还包括输出接口 1212,其把计算设备1200与一个或更多外部设备进行接口。举例来说,计算设备1200可以通过输出接口 1212显示文字、图像等等。
[0063]应设想到,通过输入接口 1210和输出接口 1212与计算设备1200通信的外部设备可以被包括在提供用户可以与之交互的基本上任何类型的用户接口的环境中。用户接口类型的示例包括图形用户接口、自然用户接口等等。举例来说,图形用户接口可以接受来自采用(多个)输入设备(比如键盘、鼠标、遥控器等等)的用户的输入,并且在比如显示器之类的输出设备上提供输出。此外,自然用户接口可以使得用户能够与计算设备1200进行交互,而不会受到由比如键盘、鼠标、遥控器等输入设备所强加的约束。相反,自然用户接口可以依赖于话音辨识、触摸和触笔辨识、屏幕上和邻近屏幕的手势辨识、空中手势、头部和眼睛跟踪、语音和话音、视觉、触摸、手势、机器智能等等。
[0064]此外,虽然被图示为单一系统,但是应当理解的是,计算设备1200可以是分布式系统。因此,举例来说,几个设备可以通过网络连接通信,并且可以共同实施被描述为由计算设备1200实施的任务。
[0065]这里所描述的各种功能可以通过硬件、软件或者其任意组合来实施。如果是通过软件来实施,则函数可以被存储在计算机可读介质上或者作为计算机可读介质上的一条或更多条指令或代码来传送。计算机可读介质包括计算机可读存储介质。计算机可读存储介质可以是能够由计算机访问的任何可用的存储介质。作为举例而非限制,这样的计算机可读存储介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储装置,磁盘存储装置或其他磁性存储设备,或者可以被用来通过指令或数据结构的形式携带或存储所期望的程序代码并且可以由计算机访问的任何其他介质。这里所使用的碟(disk)和盘(disc)包括紧致盘(⑶)、激光盘、光盘、数字通用盘(DVD )、软碟以及Blu-ray(蓝光)盘(BD ),其中碟通常通过磁性方式再现数据,而盘通常利用激光器通过光学方式再现数据。此外,传播信号不被包括在计算机可读存储介质的范围内。计算机可读介质还包括通信介质,其中包括促进从一个地方向另一个地方传输计算机程序的任何介质。举例来说,连接可以是通信介质。举例来说,如果使用同轴线缆、光纤线缆、双绞线、数字订户线(DSL)或者比如红外、无线电和微波之类的无线技术从网站、服务器或其他远程来源传送软件,则所述同轴线缆、光纤线缆、双绞线、DSL或者比如红外、无线电和微波之类的无线技术被包括在通信介质的定义内。前述各项的组合也应当被包括在计算机可读介质的范围内。
[0066]替换地或附加地,这里所描述的功能可以至少部分地由一个或更多硬件逻辑组件实施。作为举例而非限制,可以使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、程序特定集成电路(ASIC)、程序特定标准产品(ASSP)、芯片上系统的系统(S0C)、复杂可编程逻辑设备(CPLD)等等。
[0067]前面已经描述的内容包括一个或更多实施例的示例。出于描述前面提到的各个方面的目的当然不可能描述前述设备或方法的每一种可设想到的修改和改动,但是本领域普通技术人员可以认识到,各个方面的许多另外的修改和排列是可能的。相应地,所描述的各个方面意图涵盖落在所附权利要求的精神和范围内的所有此类改动、修改和变型。此外,就在详细描述或权利要求中使用术语“包括”而言,这样的术语意图是包含性的,其方式类似于作为“包含”的术语“包括”在被采用作为权利要求中的过渡词时被解释的方式。
【主权项】
1.一种客户端计算设备,其被配置成在执行统一通信应用的客户端侧实例时实施多项动作,所述多项动作包括: 向执行统一通信应用的第一服务器侧实例的第一服务器传送第一请求; 在传送所述请求之后,接收来自第一服务器的web票证,所述web票证包括基于对称密钥的签名; 向执行统一通信应用的第二服务器侧实例的第二服务器传送第二请求,其中第二请求包括web票证;以及 接收来自第二服务器的基于所述请求的数据分组。2.权利要求1的客户端计算设备,其是移动电话。3.权利要求1的客户端计算设备,其中,所述web票证具有小于两百字节的尺寸。4.权利要求1的客户端计算设备,其被配置成在接收到来自第一服务器的web票证之后并且在所述web票证到期之前,对于向执行统一通信应用的相应的服务器侧实例的服务器的每一项请求传送web票证。5.权利要求4的客户端计算设备,其中,所述web票证在多于一个小时并且少于一天之后到期。6.权利要求1的客户端计算设备,其中,所述web票证还包括将第一服务器标识成web票证的发行器的数据。7.权利要求1的客户端计算设备,其中,所述统一通信应用支持多种通信模态,所述模态包括即时消息传送、联系人的存在、屏幕共享、群组维护、视频会议技术以及电话会议技术。8.权利要求1的客户端计算设备,其中,所述web票证包括表明该web票证将要到期的时间的数据。9.一种由客户端计算设备在执行统一通信应用的客户端侧实例时所执行的方法,所述方法包括: 接收来自执行票证发行器的第一服务器的web票证,所述web票证包括标识该票证发行器的数据以及基于对称密钥的签名; 向执行验证器的第二服务器传送请求,所述请求包括所述web票证; 接收来自第二服务器的针对所述请求的响应;以及 基于接收自第二服务器的针对所述请求的响应在客户端计算设备的显示屏幕上显示数据。10.权利要求9的方法,其中,统一资源定位符包括向第二服务器传送的请求。
【专利摘要】结合对统一通信系统的用户进行认证而使用小尺寸web票证。所述web票证是通过使用对称密钥而生成的,并且其尺寸小于两百字节。在第一计算设备上执行的票证发行器响应于接收到来自客户端计算设备的认证数据而生成web票证,并且向这样的客户端计算设备传送web票证。客户端计算设备将web票证包括在向第二服务器计算设备传送的针对数据的请求中,其中第二服务器计算设备与票证发行器通信。第二服务器计算设备包括验证器,该验证器使用在第一服务器与第二服务器之间共享的对称密钥对web票证进行验证。
【IPC分类】H04L9/08, G06F21/33, H04L29/06
【公开号】CN105210348
【申请号】CN201480011317
【发明人】P.蒂威尔, Y.皮施, D.劳, V.艾德尔曼, S.康德普迪
【申请人】微软技术许可有限责任公司
【公开日】2015年12月30日
【申请日】2014年2月26日
【公告号】CN105027535A, CN105144659A, EP2949102A1, EP2949108A1, EP2962440A1, EP2962445A1, US20140244708, US20140244721, US20140244818, US20140245420, WO2014134081A1, WO2014134082A1, WO2014134083A1, WO2014134085A1